APT29
APT29 ( Advanced Persistent Threat ) on Venäjältä kotoisin oleva hakkerointiryhmä. Tämä hakkerointiryhmä toimii myös aliaksilla Cozy Bear, Cozy Duke, the Dukes ja Office Monkeys. Cybergang juontaa juurensa vuoden 2008 MiniDuke-haittaohjelmasta, ja he ovat jatkuvasti parantaneet ja päivittäneet hakkerointiarsenaaliaan sekä hyökkäysstrategioitaan ja infrastruktuuriaan. APT29 tavoittelee usein arvokkaita kohteita kaikkialla maailmassa. APT29:n viimeisimmät ponnistelut ovat keskittyneet COVID-19-rokotetietojen varastamiseen lääketieteellisiltä laitoksilta ympäri maailmaa.
Jotkut kyberturvallisuustutkijat epäilevät vahvasti, että APT29:llä on läheiset suhteet Venäjän tiedustelupalveluihin ja erityisesti Venäjän liittovaltion turvallisuuspalveluun (FSB).
Tämä viikko haittaohjelmien jaksossa 19, osa 1: venäläiset APT29-hakkerit kohdistavat koronavirus/COVID-19-rokotetutkimusyritykset
Sisällysluettelo
Työkalusarja ja merkittäviä hyökkäyksiä
Riippumatta valitusta kohteesta, APT29 suorittaa aina kaksivaiheisia hyökkäyksiä, joissa on takaoven troijalainen ja haittaohjelmien poisto. Ensimmäisen tavoitteena on hakea henkilötiedot ja lähettää ne takaisin komento- ja ohjauspalvelimelle (C&C), kun taas jälkimmäinen tekee todellisen vahingon kohdeorganisaation mukaan. Työkalusarjoja päivitetään säännöllisesti ja parannellaan AV-kiertoa varten.
APT29 on melko suosittu hakkerointiryhmä, koska se nousi usein otsikoihin hyökkäyksissään, jotka kohdistuvat korkean profiilin organisaatioihin maailmanlaajuisesti – valtion virastoihin sotilasorganisaatioihin, diplomaattisiin edustustoihin, televiestintäyrityksiin ja erilaisiin kaupallisiin yhteisöihin. Tässä on joitain merkittävimmistä hyökkäyksistä, joihin APT29 on väitetysti osallistunut:
- Vuoden 2014 roskapostikampanjat, joiden tarkoituksena oli istuttaa CozyDuke- ja Miniduke-haittaohjelmat tutkimuslaitoksiin ja valtion virastoihin Yhdysvalloissa.
- Vuoden 2015 Cozy Bear -keihäsphishing-hyökkäys, joka lamautti Pentagonin sähköpostijärjestelmän hetkeksi.
- Cozy Bear -hyökkäys demokraattista kansallista komiteaa vastaan ennen vuoden 2016 presidentinvaaleja Yhdysvalloissa sekä sarja hyökkäyksiä Yhdysvalloissa toimivia kansalaisjärjestöjä ja ajatushautoja vastaan.
- Tammikuussa 2017 Norjan hallituksen huijaushyökkäys, joka koski maan työväenpuoluetta, puolustusministeriötä ja ulkoministeriötä.
- Vuoden 2019 Operation Ghost -tartuntaaalto, joka esitteli äskettäin muodostetut Polyglot Duke-, RegDuke- ja FatDuke-haittaohjelmaperheet.
Edelleen vahvana kaksitoista vuotta myöhemmin
APT29 jatkaa korkean profiilin tavoitteiden saavuttamista vuonna 2020. On raportoitu, että tämä hakkerointiryhmä on mennyt perässä useiden lääketieteellisten tutkimuslaitosten perässä Yhdysvalloissa, Kanadassa ja Isossa-Britanniassa. Vaikuttaa siltä, että APT29 on suunnattu erityisesti lääketieteellisiin laitoksiin, jotka ovat suoraan yhteydessä COVID-19-tutkimukseen, mukaan lukien mahdollisen rokotteen ja tehokkaiden hoitojen kehittäminen. APT29 skannaa IP-alueet, jotka kuuluvat kyseisille hoitolaitoksille, ja tarkistaa sitten, onko haavoittuvuuksia, joita se voi hyödyntää. Kun APT29 onnistuu murtautumaan kohdennettuun verkkoon, hakkerointiryhmä ottaa käyttöön WellMess-haittaohjelman tai WellMail-uhan.
Kohteena olleet lääketieteelliset laitokset eivät ole toimittaneet tapauksesta paljoa tietoa, koska kyseessä on todennäköisesti turvaluokiteltu tieto. On kuitenkin turvallista olettaa, että APT29 etsii COVID-19-tutkimukseen liittyviä turvaluokiteltuja tietoja ja asiakirjoja. APT29:n käyttämät hakkerointityökalut pystyvät saamaan tietoja vaarantuneelta isännältä sekä asettamaan lisäuhkia tartunnan saaneeseen järjestelmään.
Varo uusia APT29:ään liittyviä huijauksia
Monet kyberrikolliset käyttävät COVID-19:ää levittääkseen matalan tason huijauksia ja erilaisia uhkia. APT29:n tapaus on kuitenkin paljon mielenkiintoisempi. Voidaan olettaa, että kyseessä on venäläinen tiedusteluoperaatio, jota Kremlin tuki voi olla tai ei.
Lääketieteellisten laitosten on oltava erittäin varovaisia kyberhyökkäyksiä vastaan, koska ne ovat olleet myrskyn silmässä koko vuoden 2020. On tärkeää pitää kaikki ohjelmistosi ajan tasalla, varmistaa, että käytät erittäin turvallisia kirjautumistunnuksia, asentaa kaikki korjaukset laiteohjelmistoasi ja älä unohda hankkia hyvämaineinen, moderni virustorjuntaohjelmisto.